Begin april kwam de baas van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), generaal-majoor Pieter Cobelens, negatief in het nieuws omdat hij een Hyves pagina had. Hierdoor zou Cobelens informatie over zijn privéleven hebben prijsgegeven, maar volgens Rik Ferguson, beveiligingsexpert bij anti-virusbedrijf Trend Micro, zou iedereen een Hyves profiel moeten aanmaken. De "Solutions architect" laat tegenover Security.nl weten dat persoonlijke informatie nu veel meer waard is dan tien jaar geleden, met name omdat er toen nog niet zoveel van was op het internet.

Claim je profiel
"Mensen geven teveel gratis weg op het internet" en dat is niet zonder gevolgen. Aan de hand van alleen sociale netwerksites als Hyves en LinkedIn is het eenvoudig om een zeer gedetailleerd profiel van iemand te maken. Ferguson merkt op dat veel mensen hun profiel niet op privé zetten, ook al is die optie wel aanwezig. Hij demonstreert hoe hij via publiek opvraagbare websites een zeer gerichte e-mail voor een collega maakt. Het enige dat ontbreekt is een Word document of PDF bestand met een exploit erin verstopt. Doordat de e-mail zo persoonlijk lijkt, de afzender is vervalst en de inhoud lijkt alleen vanaf de afzender te komen, zijn dit soort aanvallen zeer succesvol in het slachtoffers laten openen van bijlagen.

Het verkrijgen van de benodigde informatie voor een spear-phishing aanval stelt echter niet veel voor. Google en een LinkedIn profile zijn in het voorbeeld van Ferguson voldoende. Het zoeken naar de naam van zijn slachtoffer levert een pagina op met andere namen waar deze persoon eerder mee werkte. Een handig aanknopingspunt voor de aanvaller, die niet alleen de identiteit van een oud collega kan gebruiken, maar ook een referentiepunt heeft voor een e-mail. Om de aanval te laten slagen moet het slachtoffer zijn machine niet gepatcht hebben, maar volgens Ferguson kun je er vanuit gaan dat mensen hun machines niet patchen.

"Neem dus controle over je eigen profielen. Ook al gebruik je geen MySpace of Facebook, maak toch een profiel aan, alleen om mensen aan te geven dat je die dienst niet gebruikt. Claim je identiteit, anders doet iemand anders dat voor je." Wie toch actief op een sociale netwerksite wil zijn krijgt het advies om hier verstandig en voorzichtig mee om te gaan. Als je een persoon wilt oplichten, lukt dat het beste door je als iemand voor te doen die het slachtoffer kent. Ferguson gebruikt zelf een nep-profiel voor onderzoeksdoeleinden en krijgt regelmatig uitnodigingen van mensen of hij hun vriend wil worden. "De persoonlijkheid die ik gemaakt hebt bestaat niet eens en toch willen ze me al toevoegen."

Google jezelf
Het tweede advies dat Ferguson geeft is dat mensen zichzelf moeten Googlen. "Weet welke informatie er over je online staat." Tot op zekere hoogte kun je online informatie verwijderen. Ook voor de generatie die in de jaren negentig al actief was op het web kunnen de gevolgen van online informatie nog vervelende gevolgen hebben. "Denk aan je eerste website die je zelf maakte, vijftien jaar later staat die nog steeds online en vindt je potentiële werkgever die bij het Googlen."

Een andere manier om informatie over jezelf in de gaten te houden is het gebruik van Google Alerts. Ferguson geeft als voorbeeld dat hij zijn eigen creditcardgegevevens online vond. Hij had een Google Alert voor de eerste acht cijfers van zijn creditcard ingesteld, toen hij onlangs bericht kreeg dat het getal door Google was gevonden. De website waar de informatie op stond bleek nog veel meer creditcardgegevens te bevatten. Ferguson merkt op dat beveiliging en privacy veel mensen niet interesseert, omdat ze toch door hun bank vergoed worden. "Maar dat geld moet ergens vandaan komen en aan het eind van de dag draaien we er allemaal voor op."